AP Twitter hack pide una nueva visión de las necesidades de seguridad cibernética

Ser pirateado en Twitter se está convirtiendo en un rito de paso para las grandes corporaciones, pero el ataque del martes La prensa podría ser un punto de inflexión y muestra que las redes sociales deben hacer más para mantener a sus usuarios seguros, dijeron expertos en seguridad.

Uso más amplio de la autenticación de dos factores, que puede involucrar un código de acceso enviado a un usuario en un segundo dispositivo como un teléfono inteligente, es una posible solución. Tal mecanismo podría ser introducido selectivamente, según algunos expertos, para cuentas de alto perfil como celebridades y grandes corporaciones.

"Twitter necesita incorporarse y hacer que la autenticación de dos factores esté disponible … lo más rápido posible", dijo Andrew Storms., director de operaciones de seguridad en nCircle Security.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

La cuenta de Twitter del AP fue pirateada el martes por la mañana, dando como resultado un falso tweet que informaba que hubo "dos explosiones en la Casa Blanca y Barack Obama están heridos ". Un grupo autodenominado Ejército Electrónico Sirio se atribuyó la responsabilidad a través de su propia cuenta de Twitter.

El tweet solo fue visible en cuestión de minutos, pero el promedio industrial Dow Jones se sumergió inmediatamente después de su publicación antes de recuperar varios minutos. luego. A diferencia de algunos incidentes previos de piratería informática, "este tuvo un impacto real en los mercados", señaló Steve Brunetto, director de gestión de productos en EdgeWave, una compañía de seguridad de correo electrónico y redes sociales.

El AP se une a una lista de compañías que han sido pirateados recientemente en Twitter. Tres marcas de CBS, 60 Minutos, 48 ​​Horas y un afiliado de noticias de Denver, fueron secuestradas este pasado fin de semana. The New York Times, The Wall Street Journal y The Washington Post también han sido pirateados en los últimos meses. En febrero, Twitter anunció que el sitio en sí había sido violado.

Las cuentas de Twitter de Burger King y la compañía de automóviles Jeep también se han visto comprometidas. Después de esos incidentes, Twitter instó a los usuarios a ser más inteligentes con sus contraseñas y cómo usan el sitio.

Twitter se ha mantenido en gran parte tranquilo después del ataque AP del martes. "No hacemos comentarios sobre cuentas individuales por razones de privacidad y seguridad", dijo un portavoz. Pero ahora puede ser el momento perfecto para que la red social emplee salvaguardas más sólidas para prevenir futuras infracciones de la cuenta, dijeron algunos expertos.

"Twitter necesita avanzar más rápido para intensificar sus esfuerzos de ciberseguridad", dijo Brunetto de EdgeWave.

Mark Risher, CEO de Impermium, una firma de seguridad en Internet con sede en Redwood City, California, dijo que cree que Twitter ya se toma en serio la seguridad, pero el ataque del martes sí "eleva" las preocupaciones, dijo.

Una estrategia sería que Twitter implementara una sistema de autenticación en dos pasos. En una implementación común, cuando los usuarios inician sesión en el sitio desde su computadora portátil, Twitter les enviará una contraseña a un segundo dispositivo, como su teléfono móvil. Luego, tendrían que ingresar ese código, así como su nombre de usuario y contraseña para acceder al sitio.

Las llamadas a Twitter para adoptar dicho sistema resurgen cada vez que el sitio es pirateado, pero el ataque AP podría convertirse en un punto de inflexión, dijo nCircle Storms.

Si Twitter no desea autorizar la autenticación de dos factores para todas las cuentas, la compañía podría requerirlo solo para cuentas que pasen un cierto número de seguidores, sugirió.

Se podría ofrecer la verificación en dos pasos a grandes marcas y otras cuentas destacadas, estuvo de acuerdo Jon Oberheide, cofundador y director de tecnología de Duo Security, que desarrolla software de autenticación.

Pero las cuentas que emplean la autenticación en dos pasos pueden ser susceptibles si los que usan las cuentas están sujetos a un ataque de phishing por correo electrónico, dijo Risher Impermium. "El hacker podría falsificar una página de inicio de sesión pidiéndote el código que acabas de recibir", dijo.

Alternativamente, se podría utilizar un ataque de phishing para instalar un registrador de pulsaciones en la computadora de un usuario, registrando su nombre de usuario y contraseña la próxima vez que ingresen.

Como alternativa, Twitter y otras redes sociales deberían analizar de cerca cómo interactúan los usuarios con sus servicios y esté atento a las señales que puedan indicar actividad no autorizada, dijo Risher, cuya compañía desarrolla algoritmos para identificar dicha actividad. Podría ver cómo los usuarios interactúan con el contenido y con qué frecuencia twittean y se retuitean, por ejemplo.

Twitter también podría emplear un método de autenticación basado en el riesgo, al hacer preguntas de identificación personal cuando inician sesión desde una computadora desconocida. por ejemplo.

Sin embargo, los usuarios podrían hacer más para salvaguardar sus propias cuentas de redes sociales. Usar contraseñas más sólidas, cambiarlas con frecuencia y proteger las redes Wi-Fi con contraseñas son prácticas recomendadas. Tener una contraseña débil puede haber jugado un papel en la violación de la cuenta del AP. El Ejército Electrónico Sirio tuiteó la supuesta contraseña "APm @ rketing" más tarde esta tarde.

Pero la responsabilidad debería estar en los sitios de redes sociales para garantizar la seguridad de las cuentas de sus usuarios, dijo Risher. "Debería ser como una división 80/20", dijo, y agregó, "la mayor parte del trabajo debería ser hecho por los sitios".

Apple, Facebook y Google se encuentran entre las empresas que ya ofrecen dos etapas autenticación como una opción para los usuarios.

Twitter es un gran objetivo para las infracciones debido a su inmediatez, dijo Obenhaim. Uno de los propósitos principales de Twitter es difundir información casi en tiempo real, por ejemplo, mientras que las páginas de la compañía en Facebook son a menudo menos activas.

Otras ideas que se han publicado para mantener cuentas e identifica seguridad en línea incluyen el uso de "físico" contraseñas, que podrían tomar la forma de una pieza de joyería. En un documento de investigación publicado en enero, Google dijo que las estrategias actuales, incluido el sistema de verificación en dos pasos, son insuficientes.

Las apuestas son altas en lo que respecta a la ciberseguridad, como lo demostró la caída del mercado bursátil el martes. "La difamación de marca o personaje ya no es el único resultado", dijo nCircle's Storms.

Publicar una tweet ficticia sobre el comportamiento escandaloso de los empleados de Burger King es una cosa, pero tuiteó que el presidente resultó herido después de una explosión en la Casa Blanca "Puede tener un impacto grave" en términos más generales, señaló Oberheide de Duo.

Tales intromisiones son también más significativas ya que la Comisión de Valores de Estados Unidos dijo que permitiría a las empresas públicas divulgar información corporativa importante en los sitios de redes sociales.

La SEC no quiso hacer comentarios el martes sobre los AP y otros hacks recientes de Twitter.

Zach Miners cubre noticias de redes sociales, búsqueda y tecnología general para IDG News Service. Sigue a Zach en Twitter en @zachminers. La dirección de correo electrónico de Zach es [email protected]